محققان آزمایشگاه Kaspersky طی اخبار خود در روز دوشنبه گزارش دادند که مجرمان فعال در فضای مجازی با حمله و نفوذ به وبگاه رسمی ابزار مدیریت از راه دور معروف Ammyy، اقدام به واردکردن تروجان بانکداری Lurk و چندین برنامه مخرب دیگر به این وبگاه کردهاند. Lurk که یک تروجان بانکداری است، سابقاً برای حمله به شرکتهای مالی روسی و همچنین چندین سازمان دیگر مورد استفاده قرارگرفته است. این تروجان از ۵ سال پیش فعالیت خود را شروع کرده است و کارشناسان تخمین میزنند که گروههای فعالیتهای غیرقانونی در فضای مجازی با استفاده از این تروجان حدود ۴۵ میلیون دلار را به جیب زده باشند.
مقامات روسی نیز به تازگی ۵۰ نفر را که مظنون به استفاده از این تروجان هستند بازداشت کردهاند. طبق شنیدهها این بازداشتها در کار کیت بهرهبرداری Angler نیز بیتأثیر نبوده است و باعث توقف فعالیت این کیت شده است.
تروجان Lurk معمولاً با استفاده از حملات watering hole وارد سامانهها میشود. در این نوع حمله، یک وبگاه رسمی مورد حمله واقع و بدافزار به آن وارد میشود. در بسیاری از موارد، نفوذ گران از کیتهای بهرهبرداری برای وارد کردن بدافزار استفاده میکنند، اما کارشناسان کشف کردند که در این مورد، یک نرمافزار برای این منظور مورد استفاده واقع شده است.
محققان آزمایشگاه Kaspersky در این خصوص دریافتند که کاربران مورد حمله این تروجان، ابزار مدیریت از راه دور Ammyy را در رایانههای خود نصب کردهاند. بررسیهای بیشتر نشان داد که این تروجان در ابتدا در قالب یک پرونده با نام ammyysvc.exe در کنار برنامه نصب Ammyy و از وبگاه رسمی این برنامه، از اینترنت دریافت شده است.
محققان اولین بار در فوریه ۲۰۱۶ این تروجان را در وبگاه Ammyy مشاهده کردند. طراحان ابزار Ammyy بلافاصله در جریان قرار گرفتند و اقدام به پاکسازی وبگاه رسمی خود از این تروجان کردند، اما طراحان تروجان Lurk بار دیگر در آوریل اقدام به استفاده از این وبگاه کرده و نسخه تغییریافته تروجان Lurk را که برای حمله به شبکههای شرکتی مناسب بود وارد بخشهای مختلف کردند. هنوز مشخص نشده است که طراحان این تروجان پس از پاکسازی وبگاه Ammyy به چه طریقی دوباره به آن دسترسی پیدا کردهاند، اما مشخص است که یا دسترسی آنها حتی پس از پاکسازی برقرار بوده است یا دوباره اقدام به حمله و نفوذ به وبگاه کردهاند.
مسئولان شرکت Ammyy پس از این اتفاق بار دیگر اقدام به پاکسازی وبگاه شرکت خود کردند، اما محققان مدتی بعد در یکم ژوئن دریافتند که این بار این وبگاه موردحمله تروجان Fareit قرارگرفته است. طراحان شرکت Ammyy به تازگی بار دیگر اقدام به پاکسازی وبگاه خود از بدافزارها کردهاند و تاکنون خبر جدیدی از حمله جدید تروجانها مخابره نشده است.
کارشناسان در این باره معتقدند که مجرمان حوزه فضای مجازی اساس کار خود را بر این قرار دادهاند که مدیران در خصوص بروز تهدید در مورد محصولات شرکتها، واکنش خاصی را نشان نمیدهند. کارشناسان در مورد تروجان Lurk معتقدند که مجرمان طراح این تروجان به طور قطع میدانند برنامههای ضدویروسی Ammyy در برابر تهدیدهای رخداده به خوبی عمل نمیکنند، زیرا موارد متعددی مشاهده شده که در آنها این ابزار برای اهداف خرابکارانه مورد سوءاستفاده واقع شده است.
محققان Kaspersky از ماه فوریه فعالیتهای این تروجان را در وبگاه Ammyy تحت نظر دارند و این در حالی است که شرکت ESET طی یک گزارش اعلام کرد که در نوامبر ۲۰۱۵ نیز وبگاه Ammyy توسط یک گروه مجرم با نام Buhtrap مورد سوءاستفاده واقع شده است. این گروه از این وبگاه برای پخش کردن انواع بدافزارها استفاده کرده که برنامه دریافتکننده تروجان Lurk یکی از این بدافزارها بوده که در ماه اکتبر در این وبگاه مشاهده شده است. این وبگاه علاوه بر این، مورد استفاده گروههایی مانند Corebot ،Buhtrap ،Ranbyus و Netwire بوده است. برخی منابع نیز گزارش دادهاند که این وبگاه از جولای ۲۰۱۵ به مکانی برای گروههای جرائم فضای مجازی تبدیلشده است.
واسیلی بردنیکوف، تحلیلگر بدافزارها در آزمایشگاه Kaspersky در این خصوص گفت: «استفاده از نرمافزارهای رسمی برای اهداف غیرقانونی، یک روش مناسب برای پخش کردن بدافزارها در بخشهای مختلف است. مجرمان فضای مجازی با استفاده از این روش، قبل از هر چیز میتوانند انتظارات کاربران از امنیت یک نرمافزار رسمی را تحت شعاع قرار داده و از اطمینان آنها به شرکتها و نرمافزارهای رسمی سوءاستفاده کنند. کاربران با دریافت و نصب یک نرمافزار از شرکتهای طراحی معروف، دیگر تردیدی در مورد امنیت نرمافزار ندارند و تصوری هم مبنی بر مخرب بودن پروندههای جانبی آن نرمافزار نخواهند داشت. این مسئله خود باعث میشود که مجرمان به راحتی به اهداف خود دسترسی داشته باشند و از این طریق اهداف بیشتری را مورد حمله قرار دهند.»
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.